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३ « नेपालमा डेटा संरक्षणको अवस्था 


परिचय 
अन्यत्र विश्वमा झैँ नेपालमा पनि दिनानुदिन डिजिटल प्रविधिको प्रयोग बढ्दै गएको 
छ। सँगै, डिजिटल संसारमा हुने हरेक गतिविधिको विवरण संकलन राज्य र निजी 
क्षेत्रबाट भइरहेको छ । तर प्रयोगकर्ताका के-के जानकारी संकलन गरिएका छन्‌ 
भन्नेबारे न प्रयोगकर्ताले चासो लिएका छन्‌, न राज्यले । कुन संस्थाले कस्तो डेटा, 
के-कसरी संकलन गरिरहेको छ भनेर प्रयोगकर्ताले सजिलै थाहा पाउन सक्दैन । न 
यस्ता संकलित डेटाको दुरुपयोग हुनसक्ने सम्भावना- जसले व्यक्तिको जीवनमा 
गम्भीर नकारात्मक असर पार्न सक्छ- बारे नै ञ पर्याप्त जानकार छ । त्यसैले, 
यसरी संकलित डेटाको संरक्षण (प्रोटेक्शन) बारे अध्ययन तथा गम्भीर बहस- 
छलफल हुन आवश्यक छ । यो शोध-संक्षेपमा नेपालमा डेटा संरक्षणको अवस्था 
बुझ्न खोजिएको छ। 

डेटा संरक्षणलाई कानूनी संयन्त्र मानिन्छ, जसले व्यक्तिको वैयक्तिक डेटाको 
संकलन र प्रशोधनलाई नियमन गर्छ (ल्याम्बर्ट सन्‌ २०१६) । संसारभर अहिले डेटा 
संरक्षण र सुरक्षाबारे ठूलै बहस चलिरहेको छ । युरोपियन युनियनले वैशाख २०७३ 
मै पारित गरेर जेठ २०७५ देखि “जेनेरल डेटा प्रोटेक्शन रेगुलेशन” कार्यान्वयनमा 
ल्याएको छ । यस रेगुलेशनले डेटा संकलक र प्रयोगकर्ताले मान्नुपर्ने केही सिद्धान्त, 
दायित्व तथा प्रयोगकर्ताको अधिकार युरोपमा स्थापित गरेको छ । यो रेगुलेशन 
अन्तर्गत डेटा संकलकले डेटाको कानूनसम्मत प्रयोग, अत्यावश्यक डेटाको मात्र 
संकलन, निश्चित समयका लागि मात्र डेटा भण्डारण गर्ने जस्ता सिद्धान्त पालना 
गर्नुपर्ने हुन्छ । संकलित डेटाको प्रयोग, यस्तो डेटाको प्राप्ति, गलत डेटालाई 
सच्याउने माग वा डेटा पूरै हटाउन गर्नसक्ने अनुरोध, परेको खण्डमा क्षतिपूर्ति 
समेत माग्ने अधिकार यो कानूनले प्रयोगकर्तालाई दिएको छ (प्राइभेसी इन्टरनेशनल 
सन्‌ २०१८) । 

नेपालमा भने डेटा संरक्षण सम्बन्धी कुनै कानून बनेको छैन । त्यसैले, डेटा 
संरक्षणबारे अनुसन्धान गर्न सजिलो छैन । डेटा संरक्षण सम्बन्धी कानून नभए पनि 
अरू कानूनहरूले यसका मुख्य पक्ष सम्बोधन गरेको छ कि भनी यस संक्षेपमा 
हेरिएको छ । यसका लागि डेटा संरक्षणलाई तीन पक्षमा बाँडिएको छ : संकलन, 
सुरक्षा र प्रयोग । यी तीन पक्षबारे भएका कानून र प्रयोगको खोजी यहाँ गरिएको 
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छ । यसका लागि केही नीतिगत व्यवस्था र प्रयोगको विश्लेषण गरिएको छ । 
विशेषतः वैयक्तिक गोपनीयता ऐन, २०७५; नेपाल दूरसञ्चार प्राधिकरणबाट जारी 
गरिएको साइबर सेक्युरिटी उपनियम (बाइलज्‌), २०७७; नेपाल राष्ट्र बैंकले जारी 
गरेको नेपाल राष्ट्र बैंक सूचना प्रविधि निर्देशिका, २०६९ जस्ता नीतिगत दस्तावेज 
हेरिएको छ । 

यसका साथै, डेटा संकलन गर्ने तीन संस्था--फुडमान्डु, भायानेट र प्रभु मनी 
ट्रान्सफर -ले डेटा संरक्षण सम्बन्धी व्यवस्थालाई कसरी प्रयोग गरिरहेका छन्‌ 
भनेर अध्ययन पनि गरिएको छ । फुडमान्डुले अनलाइन मार्फत खाना बिक्री- 
वितरण गर्छ भने भायानेटले इन्टरनेट सेवा प्रदान गर्छ । प्रभु मनी ट्रान्सफरले 
स्वदेश तथा विदेशबाट पैसा पठाउन सहयोग गर्छ । यी तीन संस्थाले संकलन 
गरेका प्रयोगकर्ताका डेटा चुहावट भएकाले पनि यी संस्थालाई अध्ययनका लागि 
रोजिएको हो । यी चुहावट भएका डेटाबाट यस्ता संस्थाले प्रयोगकर्ताका के-कस्ता 
डेटा संकलन गरिरहेका छन्‌ भन्ने थाहा लाग्छ । यी संस्थाले वेबसाइटमा राखेका 
गोपनीयता सम्बन्धी नीतिको विश्परेषणका साथै केही साइबर सुरक्षा विज्ञसँग पनि 
अन्तर्वार्ता गरिएको छ । आउने खण्डमा नेपालमा डेटा संरक्षणको अवस्थाको 
विश्ठ्रेषण गरिएको छ । यस क्रममा नेपालमा प्रचलित नीति-दस्तावेजको चर्चा 
गरिएको छ । त्यसपछि प्रयोगमा ध्यान दिइएको छ । 


डेटा संरक्षण र नेपाली नीति 

डेटा संरक्षणको नेपालमा छुट्टै कानून नभए पनि केही अन्य कानून छन्‌ जसले 
डेटा संकलन, सुरक्षा र प्रयोगका केही पाटा सम्बोधन गर्छन्‌ । यस्तै एउटा कानून 
हो, वैयक्तिक गोपनीयता सम्बन्धी ऐन, २०७५ । “सूचनाको संरक्षण र सुरक्षित 
उपयोगको व्यवस्था गर्ने” उद्देश्यले यो ऐन बनाइएको थियो (नेपाल सरकार २०७५) । 
यस्तै, अर्को नीतिगत कागजात हो- नेपाल राष्ट्र बैंकको सूचना प्रविधि निर्देशिका, 
जसमा बैंकको डेटा सुरक्षाको व्यवस्था गरिएको छ । यो निर्देशिका २०६९ मा 
लागु गरिएको थियो । नेपालमा बैंकहरू कम्प्युटर नेटवर्कमा जोडिएपछि हुन सक्ने 
साइबर ठगीलाई ध्यान दिई यो निर्देशिका ल्याइएको थियो (नेपाल राष्ट्र बैंक सन्‌ 
२०१२) । २०७६ मा नेपाल दुरसञ्चार प्राधिकरणले पनि डेटा सुरक्षामा चासो राखी 
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“साइबर सेक्युरिटी बाइलज्‌” बनाएको छ । कोभिड काल (फागुन-चैत २०७६) 
मा भएका केही महत्त्वपूर्ण अनलाइन ह्याकिङपछि यो उपनियम ल्याइएको थियो । 

डेटा संकलनलाई मात्र ध्यान दिने हो भने नेपालमा केही नीतिगत व्यवस्था छन्‌। 
वैयक्तिक गोपनीयता सम्बन्धी ऐन, २०७५ ले यस्तो सूचना कसरी संकलन गर्ने 
मात्र उल्लेख गरेको छैन, यस्ता सूचनाको वर्गीकरण पनि गरेको छ । उदाहरणका 
लागि, यस कानूनले जात, जाति, धर्म, शिक्षा, टेलिफोन, राहदानी/नागरिकता नं., 
मतदाता परिचयपत्रको विवरण, बायोमेट्रिक सूचना, फौजदारी कसूरको विवरणलाई 
वैयक्तिक सूचना भनेको छ । साथै, जात, जाति, राजनीतिक आबद्धता, धार्मिक 
आस्था, शारीरिक/मानसिक अवस्था, यौन जीवन, सम्पत्ति विवरणलाई संवेदनशील 
सूचना भनेको छ । यस्ता संवेदनशील सूचना प्रशोधन गर्न नहुने व्यवस्था गरिएको 
छ । सूचना वर्गीकरण डेटा संरक्षणका लागि एउटा महत्त्वपूर्ण खुड्किलो हो । 

यो कानूनको परिच्छेद १० मा सूचना संकलन सम्बन्धी प्रावधान छ । 
अधिकार्रदत्त व्यक्तिले मुख्यतः वैयक्तिक सूचना संकलन गर्नुपर्ने भनिएको छ । तर, 
अध्ययन वा अनुसन्धान गर्न सम्बन्धित व्यक्तिको स्वीकृति भएपछि यस्तो विवरण 
संकलन गर्न पाइन्छ । यसरी संकलन गर्दा सूचना संकलन गर्ने समय, सूचनाको 
विषयवस्तु, सूचनाको प्रकृति, सूचना संकलनको उद्देश्य, सूचना परीक्षणको विधि र 
प्रक्रिया, सूचनाको गोपनीयता र सूचना सुरक्षित राख्ने विधिको जानकारी व्यक्तिलाई 
दिन आवश्यक छ पनि भनिएको छ । १८ वर्ष उमेर नपुगेका र होस ठेगान नभएका 
व्यक्तिका हकमा संरक्षक वा माथवर व्यक्तिले उनीहरूका सूचना दिन मिल्ने 
व्यवस्था ऐनमा गरिएको छ (नेपाल सरकार २०७७) । 

डेटाको सेक्युरिटीबारे केही नीतिगत कानून पनि नेपालमा छन्‌ । उदाहरणका 
लागि, वैयक्तिक गोपनीयता सम्बन्धी ऐन, २०७५ मा सूचना संकलन गर्ने निकायले 
त्यसको संरक्षण गर्नुपर्ने व्यवस्था गरिएको छ । ऐनको दफा २५ मा “सार्वजनिक 
निकायले वैयक्तिक सूचनामा हुन सक्ने अनधिकृत पहुँच वा त्यस्तो सूचनाको 
अनधिकृत उपयोग, हेरफेर, खुलासा, प्रकाशन वा प्रसारण विरुद्ध हुन सक्ने 
जोखिमका विरुद्ध सुरक्षाको उपयुक्त प्रबन्ध गर्नु पर्नेछ” भनिएको छ । 


1 नाबालक वा होस ठेगान नभएका व्यक्तिको संरक्षक नभएमा उनीहरूको पालन-पोषण, 
स्वास्थ्य, शिक्षा लगायत अरू काम गर्न तोकिएको व्यक्ति/संस्था । 
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डेटाको सुरक्षामा नेपाल राष्ट्र बैंकले पनि ध्यान दिएको छ । वि.सं. २०६६ 
पछि नेपालमा बैंकहरूमा अनलाइन नेटवर्क शुरू भएपछि बिस्तारै वित्तीय घाटा र 
इलेक्ट्रोनिक ठगी बढेको परिप्रेक्ष्यमा नेपाल राष्ट्र बैंकले भदौ २०६९ तिर नेपाल 
राष्ट्र बैंक इन्फर्मेशन टेक्नोलोजी गाइडलाइन (सूचना प्रविधि निर्देशिका) ल्यायो 
(नेपाल राष्ट्र बैंक सन्‌ २०१२) । बैंकले सूचना प्रविधि सम्बन्धी रणनीति तथा नीति 
बनाउनुपर्ने, कर्मचारीलाई सूचना सुरक्षा शिक्षा दिनुपर्ने, सूचना प्रविधि लेखापरीक्षण 
वा इन्फर्मेशन सिस्टम अडिट गर्ने प्रावधान पनि त्यसमा राखिएको थियो । र, 
निर्देशिकालाई दुई वर्षभित्र अनिवार्य रूपमा प्रयोगमा ल्याउने भनिएको थियो । 
तर, सो निर्देशिका लागु गर्न कडाइ गरिएन । भदौ २०७६ मा फेरि राष्ट्र बैंकले 
अर्को निर्देशन जारी गच्यो । यो नयाँ निर्देशिका आउनुको एउटा मुख्य कारण सोही 
महिना चीनबाट आएका ह्याकरले भारत र नेपालका एटीएमबाट बैंकको परिचय 
र कार्ड प्रयोग गरी ३ करोड ४४ लाख रुपियाँ निकाल्नु थियो (आचार्य २०७६) । 
साइबर सुरक्षा क्षेत्रमा काम गर्ने संस्था एमिनेन्सका नारायण कोइरालाका अनुसार 
आईटी अडिटका क्रममा संस्थाभित्र सूचना प्रविधि सम्बन्धी सफ्टवेयर, हार्डवेयर र 
सिस्टमको सुरक्षा कस्तो छ भन्ने हेरिन्छ, र सुरक्षा कमजोर भएको पाइए सुधारका 
उपाय सुझाइन्छ । त्यसैले, सुझाएको सुधार गरिएन भने आईटी अडिटको महत्त्व 
हुँदैन।२ 

नेपाल राष्ट्र बैंक र नेपाल दूरसञ्चार प्राधिकरण मात्र होइन, अरू नियामक 
निकायले पनि सूचना प्रविधि अडिटमा चासो लिइरहेका छन्‌ । वि.सं. २०७३ तिर 
महालेखा परीक्षकको कार्यालयले सूचना प्रविधि अडिटको काम शुरू गच्यो । 
वि.सं. २०७६ मा विमा संस्थानले पनि विमा कम्पनीहरूले यस्तो अडिट गर्नुपर्ने 
व्यवस्था गच्यो । 

वि.सं. २०७६ मा नेपालमा ठूला ह्याकिङका घटना भए । भायानेटले संकलन 
गरेका प्रयोगकर्ताका डेटा चोरिएन मात्रै, ती डेटा इन्टरनेटमा सार्वजनिक पनि गरियो । 
यसपछि नेपाल दूर सञ्चार प्राधिकरण तात्यो, र साइबर सेक्युरिटी बाइलज्‌, २०७७ 
ल्यायो । यसको उद्देश्य सूचना प्रविधिका पूर्वाधार र सिस्टमलाई सुरक्षित बनाउनु 
थियो । सूचना प्रविधि सेवा प्रदायकले व्यक्तिको स्वीकृतिबिना डेटा अरूलाई दिन 


२ कोइरालासँग कात्तिक २५, २०७९ मा गरिएको कुराकानी । 
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नहुने व्यवस्था यसमा गरियो । साथै, “क्लाउड” मा भएको डेटा सुरक्षित बनाउने 
समेत भनियो । राष्ट्र बैंकले झैँ कर्मचारी तथा सरोकारवालालाई साइबर सुरक्षाप्रति 
जागरुक बनाउने र सूचना प्रणालीको अडिट प्रत्येक छ महिना गर्नुपर्ने व्यवस्था 
पनि उसले ल्यायो (हेर्नुहोस्‌, नेपाल टेलिकम अथोरिटी सन्‌ २०२०) । यसपछि 
सरकारले राष्ट्रिय साइबर सुरक्षा नीति, २०७८ को मस्यौदा तयार गच्यो । यसको 
एउटा मस्यौदा २०७८ जेठमा सुझावका लागि सार्वजनिक पनि गरिएको थियो । 
त्यस बेला तीन वर्षभित्र लचिलो, सुरक्षित र भरपर्दो साइबर स्पेस बनाउन कानूनी 
व्यवस्था गर्ने भनिएको थियो (बिजमाण्डू २०७८ ) । तर, अघिल्लो प्रतिनिधि 
सभाको कार्यकालभरि यो नीति प्रस्तुत गरिएन । र, मंसिर २, २०७९ मा उक्त 
सभाको कार्यकाल सकियो । वैशाख ५, २०८० मा राष्ट्रिय साइबर सुरक्षा नीतिको 
अर्को मस्यौदा राय र सुझावका लागि सञ्चार तथा सूचना प्रविधि मन्त्रालयको 
वेबसाइटमा सार्वजनिक गरिएको थियो । 

सार्वजनिक संस्थासँग भएका डेटाको प्रयोगबारे विद्यमान नीति-कानूनले पर्याप्त 
ध्यान दिन सकेका छैनन्‌ । उदाहरणका लागि, वैयक्तिक गोपनीयता सम्बन्धी ऐन, 
२०७५ को दफा २६ मा प्रयोजन खुलाई संकलन गरिएका सूचना, सहमतिबाट 
प्राप्त सूचना, फौजदारी मुद्दाका क्रममा अनुसन्धान र अभियोजन गर्न, निश्चित प्रश्नको 
निवारण गर्न सूचना अधिकारीले लिखित माग गरेमा सूचनाको प्रयोग गर्न पाउने 
भनिएको छ । यहाँ ध्यान दिनुपर्ने एउटा विषय सार्वजनिक संस्थामा रहेका वैयक्तिक 
सूचनालाई सच्याउन पाउने व्यवस्था हो । यसबारे ऐनको धारा २८ मा यसरी 
राखिएको सूचना गलत वा तथ्यमा आधारित नभएमा सच्याउन सकिने भनिएको 
छ, तर सोही विवरणका आधारमा लाभ वा फाइदा लिएको भए सच्याउन निवेदन 
दिन नपाउने पनि भनिएको छ । माथि उल्लेख गरिए झैँ अन्यत्र देशमा गलत 
सूचना सच्याउने अधिकार प्रयोगकर्तालाई डेटा संरक्षण सम्बन्धी कानूनले दिन्छ, 
तर नेपालमा गोपनीयता सम्बन्धी कानूनले यो अधिकार दिएको देखिँदैन । 

सार्वजनिक संस्थासँग भएका सूचनाको प्रयोगका धेरै पक्षबारे यो कानून मौन 
छ । पहिलो, संकलित सूचना कति समयसम्म भण्डारण गरिराख्ने भन्ने विषय यो 
कानूनले सम्बोधन गरेको छैन । त्यस्तै, सूचना संकलनको प्रयोजनको जानकारी 
दिई सूचना संकलन गर्ने भनिएको त छ, तर अर्कै प्रयोजनका लागि त्यस्ता सूचना 
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प्रयोग गरे के-कस्तो सजाय हुन्छ, स्पष्ट भनिएको छैन । संकलित वैयक्तिक सूचना 
सार्वजनिक भयो भने ती संकलन गर्न र सार्वजनिक गर्ने संस्थालाई के गर्ने भन्नेबारे 
पनि यो कानून मौन छ । आउने खण्डमा प्रयोगलाई ध्यान दिई डेटा संरक्षणको 
अभ्यास बुझ्न खोजिएको छ। 


संकलित डेटाको प्रयोग 
फुडमान्डु, भायानेट र प्रभु मनी ट्रान्सफर नामक तीन संस्थाले कसरी डेटा संकलन, 
त्यसको सुरक्षण र प्रयोग गरिरहेका छन्‌ भनेर यस खण्डमा हेरिएको छ । यसका 
लागि मुख्यतः यी संस्थाका गोपनीयता सम्बन्धी नीति केलाइएको छ । साथै, यी 
संस्थाका प्राविधिक संरचना ह्याक हुँदा के भयो सो पनि हेरिएको छ । त्यसको 
प्रभावले कसरी नेपालमा साइबर संरक्षणमा चासो बढायो भन्ने पनि देखाइएको 
छ । अन्तिममा यी नीतिमा उल्लेख गरिएका डेटा प्रयोगको पनि चर्चा गरिएको छ। 

सर्वसाधारणका के-के डेटा संकलन गरिएको छ भनेर बुझ्ने एउटा आधार 
संस्थाको गोपनीयता-नीति हो । संकलित डेटाको प्रयोगको सन्दर्भमा यी तीन ओटा 
संस्थाको गोपनीयता-नीतिमा केही कुरा उल्लेख गरिएको छ । भायानेटले वैयत्तिक 
सूचना केका लागि प्रयोग गरिन्छ सो खुलाएको छ । उदाहरणका लागि, आफ्नो 
सेवाको जानकारी फोन तथा अरू माध्यमबाट दिने, विज्ञापन गर्ने, अनुसन्धान गर्ने 
साथै कुनै गैरकानूनी काम भएमा सो रोक्न पनि यो सूचना प्रयोग गर्न सकिन्छ 
भनिएको छ । सेवा राम्रो पार्न, यसको विश्ठेषण गर्न यस्तो सूचना तेस्रो पक्ष वा 
व्यक्तिलाई डेटामा पहुँच दिन सकिने उल्लेख फुडमान्डुले गरेको छ । प्रभु मनी 
ट्रान्सफरले आफ्नो गोपनीयता-नीतिमा “मार्केटिङ” का लागि वैयक्तिक सूचनाको 
प्रयोग गर्न सकिन्छ भनेको छ । साथै कानूनी मुद्दा मामिलाका क्रममा पनि यस्तो 
सूचना बाहिर ल्याउन सकिन्छ भनेको छ । 

फुडमान्डुको वि.सं. २०७६/७७ (सन्‌ २०२०) मा बनाइएको गोपनीयता- 
नीतिमा कस्तो डेटा संकलन गर्ने उल्लेख गरिएको छ । सो नीतिमा नाम, फोन 
नम्बर, इमेल, हुलाक ठेगाना, जीपीएस लोकेशन, प्रोफाइल तस्बिर मात्र होइन 
प्रयोगकर्ताको आईपी ठेगाना, उसको वेबसाइट प्रयोग र “कुकिज” को विवरण 
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संकलन गरिन्छ भन्ने प्रस्ट उल्लेख छ ।२ वि.सं. २०७७ तिर बनाइएको प्रभु 
मनी ट्रान्सफरको गोपनीयता-नीतिमा पनि नाम, ठेगाना, ईमेल र फोन नम्बर 
जस्ता वैयक्तिक डेटा संकलन गर्ने भनिएको छ ।४ यसका साथ्रै आईपी ठेगाना, 
ब्राउजरको प्रकार, ब्राउजरको भर्सन, हेरिएको वेबसाइट, भ्रमण गरिएको समय/ 
मिति, बिताएको समय र अरू तथ्यांक पनि संकलन गरिन्छ भनिएको छ । यही 
कुरा भायानेटको नीतिमा भने स्पष्ट छैन । पुस १७, २०७७ देखि लागु गरिएको यो 
संस्थाको गोपनीयता-नीतिमा के-के डेटा संकलन गरिन्छ सो प्रस्ट उल्लेख छैन । 
त्यहाँ, सेवाको प्रयोगका लागि प्रयोगकर्ताले फाराम भर्दा राजीखुशी दिने डेटा मात्र 
संकलन गरिने भनिएको छ । 

यसरी संकलित डेटाको सुरक्षा चुनौतीको विषय भएको छ । यी संस्थाले संकलन 
गरेका डेटा चोरी (ह्याकिङ) भएपछि ती बाहिर-फेर सार्वजनिक भएका छन्‌ । फागुन 
२४, २०७६ मा फुडमान्डुको सर्भरमा अनधिकृत पहुँच गरी करिब ५० हजार 
व्यक्तिसँग सम्बन्धित डेटा “मिस्टर मुगर” नामको ट्विटर ह्याण्डलबाट सार्वजनिक 
भयो । यो डेटामा प्रयोगकर्ताको नाम, फोन नम्बर, इमेल ठेगाना लगायत घरको 
अक्षांशीय-देशान्तरीय ठेगाना सार्वजनिक गरिएको थियो (अर्याल सन्‌ २०२०) । 
अक्षांशीय-देशान्तरीय ठेगानाबाट प्रयोगकर्ताले ठ्याक्कै कहाँ बसेर सेवा लिएका 
थिए भन्ने सहजै थाहा पाउन सकिन्छ । यसरी डेटा सार्वजनिक गर्दा ह्याकरले यस्ता 
कम्पनीले साइबर सुरक्षामा चासो नदिएकामा आफू आजित भएको उल्लेख गरेका 
थिए । यो घटनाको करिब एक महिनापछि भायानेटको डेटा चोरी (ह्याक) भएको 
थियो । चैत २५, २०७६ मा “नरपिचास” ट्विटर ह्याण्डलले भायानेटका करिब 
१ लाख ७० हजार ग्राहकको वैयक्तिक विवरण बाहिर ल्याइदियो । यसमा पनि 
व्यक्तिको नाम, ठेगाना, फोन नम्बर, इमेल ठेगाना सार्वजनिक गरिएको थियो (द 
काठमाडौँ पोष्ट सन्‌ २०२०; अर्याल सन्‌ २०२० बी) । यसको करिब तीन दिनपछि 
(चैत २८, २०७६ मा) प्रभु मनी ट्रान्सफरको वेबसाइट पनि ह्याक भयो । शुरूमा 
“स्याटन” ट्विटर ह्याण्डलले यो संस्थाका वेबसाइट सुरक्षित नभएका र यसबारे 


रै कुनै वेबसाइट प्रयोग गर्दा प्रयोगकर्ताको कम्प्युटरमा राखिने एक प्रकार डेटा “कुकिज' 
हो, जसले गर्दा वेबसाइटले प्रयोगकर्तालाई चिन्न सक्छ । 

४यस वेबसाइटमा यो कहिले बनाइएको हो भनिएको छैन । त्यसैले यो ह्याकिङ भइसकेपछि 
बनाइएको अनुमान गरिएको छ । 
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सचेत गराए पनि चासो नदिएको भन्दै त्यस दिन राति ८ बजेसम्ममा वेबसाइटमा 
विद्यमान समस्या समाधान गर्न भनेका थिए । यसरी जानकारी दिँदा पनि केही पहल 
नगरेपछि उनले राति ८:४५ बजे ४०६ जनाका केही डेटा सार्वजनिक गरिदिए । 
आफूले नेपालमा सूचना प्रविधिको सिस्टम कति कमजोर छ भन्ने देखाउन मात्र 
खोजेको उनको दाबी थियो (अर्याल सन्‌ २०२० सी) । 

यसरी लगातार वेबसाइट ह्याक भएर डेटा सार्वजनिक समेत हुन थालेपछि 
नेपालमा सूचना प्रविधि संस्थाले साइबर सुरक्षामा चासो लिन थाले । नेपाल 
दूरसञ्चार प्राधिकरणले पनि सूचना प्रविधि अडिटमा चासो लियो । मुख्यतः 
फुडमान्डु र भायानेटले साइबर सुरक्षामा काम गर्ने संस्थाको सहयोग लिए । त्यस 
क्रममा उनीहरूको नेटवर्क लगायत अरू क्षेत्र पनि कमजोर भएको पाइएको थियो। 
साइबर सुरक्षामा काम गरिरहेको भैरव टेक्नोलोजीका विजय लिम्बूका अनुसार 
त्यसपछि बिस्तारै नेपालमा साइबर सुरक्षामा काम गर्ने संस्थालाई पनि सजिलो हुँदै 
आयो ।“ उदाहरणका लागि, फुडमान्डुका संस्थापक मनोहर अधिकारीका अनुसार 
ह्याकिङ भएको जानकारी भएपछि नै साइबर सुरक्षाको काम गर्ने एउटा कम्पनीसँग 
सेवा लिइएको थियो । त्यसपछि यो संस्थाको “एप्लिकेशन” (छोटकरीमा एप) 
मा रहेको छिद्रको प्रयोग गरी डेटा चोरी भएको पत्ता लाग्यो । कम्पनीले सो छिद्र 
टाल्नुका साथै अरू समस्या पनि समाधान गरेको तथा निरन्तर साइबर सुरक्षा 
कम्पनीसँग सेवा लिइरहेको अधिकारीले बताए ।$ फुडमान्डुले आफ्नो गोपनीयता- 
नीतिमा प्रयोगकर्ताले चाहेको खण्डमा संकलित सूचना हटाउन अनुरोध गर्न सकिने 
व्यवस्था पनि गच्यो । तर, त्यस्तो माग धेरै कम व्यक्तिबाट आएको कम्पनीका 
संस्थापक मनोहर अधिकारीले जानकारी दिएका छन्‌ । यति मात्र होइन, फुडमान्डु 
र प्रभु मनी ट्रान्सफरले त्यसपछि परिमार्जन गरिएको गोपनीयता-नीतिमा आफूले 
संकलन गरेको डेटालाई १०० प्रतिशत सुरक्षित राख्न नसकिने लेखेका छन्‌ । यसले 
साइबर संसारमा डेटाको सुरक्षा कति गाह्रो काम हो भन्ने देखाउँछ । 

माथि उल्लेख गरिएका जस्ता ह्याकिङले प्रयोगकर्तालाई के-कस्तो असर 
गच्यो ठ्याक्कै भन्न सकिन्न । तर चोरी भएको डेटाको गाम्भीर्य देखेर नै फुडमान्डु 


१ लिम्बूसँग मंसिर ६, २०७९ मा गरिएको कुराकानी । 
& अधिकारीसँग मंसिर ६, २०७९ मा गरिएको कुराकानी । 


११ , नेपालमा डेटा संरक्षणको अवस्था 


र भायानेट दुवैले ह्याक हुनासाथ आफ्ना प्रयोगकर्तालाई जानकारी दिन विज्ञप्ति 
निकालेका थिए (अर्याल सन्‌ २०२० ए, सन्‌ २०२०बी) । नचिनेको व्यक्तिबाट 
फोन, एसएमएस र इमेल प्राप्त भए सतर्क रहन भायानेटले आफ्ना ग्राहकलाई 
अनुरोध समेत गरेको थियो । 

गोपनीयता-नीतिमा डेटाको संकलन, सुरक्षा र प्रयोगबारे केही कुरा उल्लेख 
गरिए पनि यसमा थोरै प्रयोगकर्ता (युजर) ले मात्र चासो लिन्छन्‌ । यस्ता संस्थाले 
तयार गरेका गोपनीयता-नीति स्वीकार नगरी यी सेवा लिन पाइँदैन, तर अधिकांश 
प्रयोगकर्ताले यस्ता नीति नपढी नै सेवा लिइरहेका हुन्छन्‌ । विश्वभर नै देखिने यो 
प्रवृत्तिको नेपाल अपवाद होइन । 


निष्कर्ष 

कानूनी प्रावधान र प्रयोग हेर्दा वैयक्तिक विवरण संकलन गर्ने यी संस्थालाई निर्देशन- 
नियमन गर्ने डेटा संरक्षणको कानूनको अभाव रहेको देखिन्छ । विद्यमान कानूनहरूले 
डेटा संरक्षणका विभिन्न पाटालाई छुन सकेको देखिँदैन । गोपनीयता सम्बन्धी 
ऐन मुख्यतः सूचनाको हक सम्बन्धी अधिकारलाई नियमन गर्न ल्याइएको हो । 
त्यसैले, यो कानूनको मुख्य ध्यान डिजिटल संसारमा भएको डेटाको संरक्षणभन्दा 
पनि सूचनाको संकलन, सुरक्षा र प्रयोग कसरी गर्न सकिन्छ भन्नेमा थियो । डेटा 
संकलन गरेपछि संकलनकर्ताले परिपालना गर्नुपर्ने नीति-नियमबारे त्यति चासो 
दिएको छैन । उदाहरणका लागि, यी संस्थाले संकलन गरेका डेटालाई सुरक्षित 
राख्न नसक्दा जिम्मेवार को रहने, वा उनीहरूलाई कसरी जिम्मेवार बनाउने भन्नेबारे 
कानून मौन छ । अर्थात्‌ डेटा संकलकको दायित्वबारे प्रचलित कानून/नीतिले खासै 
ध्यान दिएको देखिँदैन । त्यस्तै, प्रयोगकर्ता (युजर) को अधिकारबारे पनि यो ऐनले 
ध्यान दिएको छैन । प्रयोगकर्ताले आफूले नचाहेमा र अनावश्यक देखेमा संकलित 
डेटा हटाउन माग गर्न सक्छ भन्ने प्रावधान डेटा संरक्षण कानूनमा राखिन्छ । यो 
प्रावधानलाई गोपनीयता ऐनले पनि राख्न खोजे जस्तो देखिन्छ । तर, यसमा पुरानो 
सूचनाका आधारमा पहिला सुविधा लिएको भए गलत सूचना पनि सुधार्न नसकिने 
प्रावधान छ । 
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डेटा संरक्षण सम्बन्धी छुट्टै कानून नहुँदा सूचना संकलकले के गर्न मिल्ने वा 
नमिल्ने भन्नेबारे अलमल देखिन्छ । सेवा दिने संस्थाले चाहिने भन्दा बढी डेटा 
त लिइरहेका छैनन्‌ भन्ने विषयमा सशंकित हुनुपर्ने अवस्था छ भने प्रयोगकर्ताले 
आफूले गरिरहेको काम कानून अन्तर्गत नै छ भनेमा विश्वस्त हुन गाह्रो देखिन्छ । 
फुडमान्डुको उदाहरणमा त्यो देखिन्छ । प्रयोगकर्ताले डेटा हटाउन अनुरोध गर्न 
सकिने कुरा यसको वेबसाइटमा भएको गोपनीयता-नीतिमा उल्लेख भए पनि यसका 
संस्थापक गोपनीयता सम्बन्धी ऐनले यसबारेमा नबोल्दा अन्योलमा देखिन्छन्‌ । 

नेपालमा डेटा संरक्षणको कानूनको अभाव टड्कारो देखिन्छ (सिग्देल सन्‌ 
२०२२) । जुन बेला गोपनीयता सम्बन्धी ऐन, २०७५ ल्याइएको थियो त्यसभन्दा 
अघि नै नेपालमा डेटा संरक्षण सम्बन्धी कानूनको माग भइसकेको थियो (अर्याल 
र अरू सन्‌ २०१२) । वि.सं. २०७९ मा भएका विभिन्न निर्वाचनमा मतदाताका 
पूर्ण विवरण सजिलोसँग हेर्ने व्यवस्था हुँदा जन्म मिति, वैवाहिक स्थिति जस्ता 
संवेदनशील डेटाको व्यवस्थापनबारे अझ बहस हुनुपर्ने देखिन्छ । मतदाताको 
विवरण यसरी निर्वाचन आयोगले बाहिर राखेपछि बडी एण्ड डाटालगायत नागरिक 
संस्थाले विरोध गरेका थिए । यस संस्थाले अरू राष्ट्रिय र अन्तर्राष्ट्रिय संस्था 
तथा १,००३ जना व्यक्तिको हस्ताक्षर सहितको ज्ञापन पत्र निर्वाचन आयोगलाई 
बुझाएको थियो (बडी एण्ड डाटा सन्‌ २०२२) । यस्तो डेटाको प्रयोग निर्वाचन 
आयोगको प्रयोजनभन्दा भिन्न तरिकाबाट पनि हुनसक्ने कुरामा सचेत हुनुपर्ने 
देखिन्छ । डेटा ब्रोकरले यस्ता सूचना संकलन गरी यसको प्रशोधन र बिक्री पनि 
गर्न सक्छन्‌ । अर्को कुरा, भारतमा पनि डेटा संरक्षणको विधेयकमा काम गर्न साउन 
२०७४ मै समिति बनेको थियो र उक्त विधेयक २०७५ मा तयार भएको थियो 
(ढपोला सन्‌ २०१८) 1२ नेपालमा यस्तो कानून चाहिनुको कारण अर्को पनि छ। 
डेटा संकलन, प्रशोधन, भण्डारण र प्रयोग गर्ने संस्था दूरसञ्चार र सूचना प्रविधिको 
क्षेत्र मात्र रहेन । यस्तो क्षेत्र अझ विस्तार भइरहेको छ । व्यापार, शिक्षा, स्वास्थ्य 
जस्ता क्षेत्रमा डिजिटल माध्यमको प्रयोग बढेको छ । संवेदशील डेटा पनि संकलन 


2 यो मस्यौदा धेरै विवादास्पद भयो र यसबारे अनुसन्धान गरी संसदीय समितिले पुस २०७८ 
मा ८१ ओटा संशोधनसहित सुझाव दियो (आर्यन सन्‌ २०२१) । मंसिर २०७९ मा त्यहाँ नयाँ 
कानूनको मस्यौदा सार्वजनिक गरिएको थियो । 


१३ , नेपालमा डेटा संरक्षणको अवस्था 


भइरहेका छन्‌ । उदाहरणका लागि, स्वास्थ्य क्षेत्रमा विरामीको संवेदशील डेटा पनि 
हुन्छन्‌ । यस्ता डेटा असावधानी र आपराधिक मनस्थितिले सार्वजनिक भएमा 
डेटाकर्ताको जीवनमा नराग्रो असर पर्न सक्छ । स्वास्थ्य क्षेत्रलाई ध्यान दिएर डेटा 
संरक्षणको छुट्टै कानून बनाउन सकिन्छ । अनि स्वास्थ्यभन्दा फरक क्षेत्रमा हुने 
डेटाको संकलन, सुरक्षा र प्रयोगलाई सम्बोधन गर्न डेटा संरक्षण सम्बन्धी पनि 
कानून बनाउन जरुरी देखिन्छ । 


धन्यवाद 

यो शोध-संक्षेप मार्टिन चौतारीका अनुसन्धाता हर्षमान महर्जनले लेखेका हुन्‌ । 
शोध-संक्षेपका विभिन्न मस्यौदा पढेर सुझाव दिनुहुने प्रत्यूष वन्त, देवराज हुमागाई, 
सोहन साह, देवेन्द्र उप्रेती, रुख गुरुङ, सन्जिला मोक्तान र मस्यौदामाथि सुझाव 
सहित यसको सम्पादन गर्नुहुने लोकरञ्जन पराजुलीप्रति आभारी छौँ । साथै, यसै 
अनुसन्धानमा आधारित रही मार्टिन चौतारीमा मंसिर ११, २०७९ मा भएको 
छलफलका क्रममा महत्त्वपूर्ण सुझाव दिनहुने सहभागीहरूलाई धन्यवाद । यो 
अनुसन्धान र प्रकाशनका लागि आर्थिक सहयोग उपलब्ध गराइदिने ओपन 
सोसाइटी फाउण्डेशनप्रति कृतज्ञ छौँ । 
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